Quel est le problème avec Fedora pour les serveurs?

J'ai souvent utilisé Fedora pour héberger des serveurs. Je n'ai jamais rencontré de problème. Pourtant, tous les nouveaux utilisateurs viennent et disent que Fedora n'est pas sécurisé. Nous devons utiliser Ubuntu / CentOS ou une autre distribution mais pas Fedora. Je ne comprends jamais quel est le problème avec Fedora. Ce qui rend les autres distributions plus sécurisées.

Quelques points: 1. Fedora est livré avec iptables configuré pour autoriser uniquement SSH. De plus, nous pouvons toujours configurer iptables pour bloquer même SSH si nous le voulons également. Donc, rien de moins sur le pare-feu.

2. Fedora publie régulièrement des mises à jour (correctifs de sécurité et généraux).

3. Les gens disent que distro X sort une nouvelle version une fois tous les 5 ans et Fedora une fois tous les 6 mois. Comment se fait-il que la sortie une fois tous les 5 ans sécurise les choses. SI vous pensez que les choses de 5 ans sont sécurisées, installez un système d'exploitation de 5 ans ou ne mettez pas à niveau pendant 5 ans même si une nouvelle version arrive. Personnellement, je pense que ne pas donner de nouvelle version pendant 5 ans n'ajoute rien à la sécurité. Vous devrez publier des correctifs pendant 5 ans au fur et à mesure que des bugs seront détectés. Donc, utiliser un OS très ancien signifie simplement plus de correctifs. Si nous utilisons une version récemment publiée, nous devons appliquer moins de mises à jour / correctifs. Comment libérer une fois tous les 5 ans rend les choses sûres, je n'ai jamais compris.

4. Tous les systèmes d'exploitation utilisent des packages similaires comme Gnome, Open-Office, KDE, Open-SSH, Apache. Les autres développeurs de distribution passent-ils du temps à lire le code source de ces packages et à corriger les erreurs de sécurité, le cas échéant? Même s'ils ne le font pas, ils publient ces failles et toutes les autres distributions publieraient des correctifs pour cela, y compris Fedora. Ou bien sécuriseraient-ils leurs propres distributions et ne prendraient-ils pas la peine d'en informer d'autres? Tout cela en supposant qu'ils lisent des millions de lignes de codes de paquets aussi gros que apache, gcc, Open-Office. Si ces choses sont les mêmes dans chaque distribution, ce qui rend Fedora plus vulnérable.

5. Fedora est livré avec seLinux préinstallé et bien configuré.

6. Bind s'exécute dans chroot par défaut dans fedora. Désormais, avec Fedora 11, le support DNSSEC est également présent par défaut. Voir la question Serveur DNS sur Fedora 11 où quelqu'un a indiqué que Fedora n'était pas bon pour l'hébergement DNS. Je ne sais pas pourquoi.

En fait, l'un des nouveaux administrateurs a installé Cent-OS 5.3 sur l'une des machines de test. Je l'ai utilisé pour cingler une adresse IP qui n'était pas là. J'ai reçu des réponses ping. J'étais étonné car ce n'était pas possible. J'ai essayé de savoir d'où venaient les réponses, mais j'ai échoué. À la fin, après avoir essayé pendant plus d'une heure, j'ai retiré le câble réseau de la machine CentOS. J'étais toujours capable de cingler l'IP. Ensuite, j'ai essayé d'envoyer une requête ping à l'adresse IP de la machine. Je pourrais aussi cingler ça. J'ai donc pu cingler deux adresses IP (pas d'autres, je les ai essayées aussi) lorsque la machine a été configurée avec une adresse IP et qu'aucun alias (eth0: 1, etc.) n'était présent. J'ai également vérifié la sortie ifconfig. J'ai perdu toute confiance dans les soi-disant distributions de serveur et installé Fedora 11 sur toutes les machines de test. Maintenant, je ne fais pas face à des problèmes aussi étranges pour des choses aussi basiques que le ping.

J'apprécierais vraiment si je pouvais obtenir des exemples de la vie réelle qui indiquent que Fedora n'est pas sûr et si dans ce cas c'était une autre distribution, tout aurait été bien. Ne donnez pas d'exemples où l'administrateur a commis des erreurs. Nous ne pouvons pas blâmer une distribution pour cela. Ne donnez pas non plus de très anciens exemples Fedora 1, 2 ou Fedora 3. Le projet Fedora est désormais très mature, en particulier les deux dernières versions 10, 11. Si vous avez rencontré des problèmes de sécurité qui leur sont propres, partagez vos expériences.

Il n'y a rien qui dicte que Fedora n'est pas adapté à une utilisation sur des serveurs, ni rien qui dicte que les "distributions de serveurs" sont le seul choix pour les serveurs. Cela dépend de vos besoins particuliers.

Ce que vous pouvez gagner en utilisant les "distributions de serveur" est:

• Soutien à long terme
• API stables (peu ou pas de mises à niveau de version des bibliothèques et des applications)
• correctifs de sécurité et corrections de bogues rétroportés
• support payant

Ma principale "plainte" pour les distributions de serveurs est que les logiciels / bibliothèques ont tendance à être un peu anciens, et la gamme de packages pris en charge est beaucoup plus petite que les efforts communautaires.

C'est-à-dire que le support à long terme et les API inchangées sont quelque chose que les éditeurs de logiciels commerciaux adorent, ils n'auront pas à reconstruire leur application pour les bibliothèques les plus récentes car l'API a soudainement changé. Ils peuvent développer pour le fournisseur Y version X et savent que cette plate-forme existera pendant plusieurs années à venir.

Je pensais que je n'avais rien à ajouter à cela, mais après avoir dirigé Fedora en production pendant près de deux ans - pour mon très important système de surveillance Zabbix! - il semble que j'ai deux ou trois choses à dire.

Tout d'abord, ce n'était pas mon premier choix. Généralement, pour tout ce qui est même vaguement important, je choisirai CentOS / RHEL pour les avantages de stabilité à long terme que ces distributions fournissent. Cependant, pour ce déploiement particulier, j'avais absolument besoin de fonctionnalités dans Zabbix 2.0, tandis que le repo EPEL n'en fournissait que 1.8. (EPEL a maintenant des packages Zabbix 2.0 et 2.2 en plus de 1.8, bien qu'il ne l'ait pas fait à l'époque. Si c'était le cas, je n'aurais jamais essayé cela.)

Donc, le compromis est le suivant: Fedora a le dernier logiciel, mais ses versions sont sur un cycle de vie très court de 13 mois, avec de nouvelles versions faites environ tous les six mois. Cela signifie que je devais prévoir une fenêtre de maintenance pour mettre à niveau Fedora deux fois par an, en plus de l'installation périodique habituelle des mises à jour.

Pour un système de surveillance censé garder une trace de tout le reste , il est essentiel que ces périodes de maintenance soient aussi peu fréquentes et aussi courtes que possible. Avec la mise à niveau si fréquente, cela excluait généralement une telle distribution, mais rappelez-vous que j'avais des préoccupations plus pressantes; ce serait inutile sans les fonctionnalités dont j'avais besoin. C'est donc un compromis que j'ai fait avec (presque) une connaissance complète des conséquences.

Il n'y a pas longtemps, j'ai effectué la mise à niveau de Fedora 18-19 sur ce serveur, en utilisant le nouvel outil de mise à niveau de Fedora de Fedora. J'ai prévu une interruption de deux heures, avec encore deux heures pour éventuellement traiter l'un des services surveillés qui pourraient être morts et ce fait a été manqué depuis que Zabbix était en panne.

Le temps d'arrêt réel du service était de 11 minutes. C'est à partir du moment où Zabbix s'est arrêté avant le redémarrage jusqu'au moment où il était de sauvegarde et de surveillance des services après la mise à niveau terminée. Je ne savais pas que le temps d'arrêt serait si court! Je m'attendais à beaucoup plus de problèmes , même si je sais par expérience que d'importants problèmes de mise à niveau sont rares avec Fedora. (Et cela a encore été amélioré: lorsque j'ai effectué la mise à niveau de Fedora 19-20, le temps d'arrêt complet était de six minutes incroyables . Le même temps pour 20-21.)

Ce service sera presque certainement déplacé sur RHEL 7 lorsqu'il sera disponible. Après cette expérience, je suis beaucoup plus confiant en Fedora en tant que serveur et j'ai maintenant l'intention de le conserver, même avec une mise à niveau majeure tous les six mois. Passer à RHEL serait beaucoup plus perturbateur et pourrait me limiter à l'avenir, pour les raisons suivantes:

Il est regrettable que Red Hat se soit écoulé si longtemps entre les versions majeures; un délai similaire entre EL5 et EL6 m'a amené à mettre une installation Ubuntu en production, quelque chose que je me botte encore aujourd'hui. (Pour ce système, j'ai pensé à Fedora, mais étrangement, il n'avait pas du tout le logiciel dont j'avais besoin à l'époque, malgré une version plus ancienne en EPEL.)

Un «problème» que personne n'a mentionné à propos de l'exécution de Fedora est que vous verrez beaucoup de nouvelles choses, à la fois de grands projets logiciels et de minuscules améliorations, bien avant leur inclusion dans RHEL. Ainsi, lorsque vous allez gérer vos systèmes RHEL / CentOS, vous les manquerez. Par exemple, Fedora a un grand nombre de complétions bash qui ne sont pas encore dans RHEL par défaut; un exemple notable est la complétion de tabulation pour les noms de packages dans la yumligne de commande.

Ainsi, il est certainement possible d'utiliser Fedora en production, tant que vous pouvez accepter les compromis:

• Il n'y a pas de contrat de support. Vous devez avoir une expertise interne suffisante pour gérer le serveur et ses services et faire face à tout problème qui pourrait survenir; seul le soutien communautaire est disponible et il n'y a aucune garantie là-bas. L'expérience RHEL est utile, car elles sont assez similaires.
• Vous devez disposer d'une fenêtre de maintenance pour effectuer une mise à niveau au moins une fois par an . Bien que tous les six mois, c'est mieux; si vous effectuez une mise à niveau annuelle, vous devrez mettre à jour deux versions à la fois, ce qui double le nombre de problèmes potentiels que vous devrez traiter à 3 heures du matin.
• Les mises à jour peuvent apporter de nouvelles versions de logiciels, que vous devrez gérer; cependant, ce seront des versions ponctuelles et non des versions majeures. Dans de rares cas, de nouvelles fonctionnalités importantes peuvent être ajoutées (par exemple BZ # 319901 ). En règle générale, cependant, les logiciels conservent le même numéro de version pendant toute la durée de vie de la version, avec des correctifs rétroportés; seuls certains packages (tels que PHP) effectuent le suivi des versions ponctuelles en amont.
• Bien qu'il n'y ait pas de différence significative dans le rythme des mises à jour de sécurité, elles peuvent ne pas toujours être isolées des mises à jour de correction de bogues (encore une fois, comme PHP). Le problème dépend du service que vous prévoyez d'exécuter.

Tout bien considéré, Fedora n'est toujours pas mon premier choix pour une plate-forme de serveur, et ne le sera probablement jamais. (Bien que j'aie été un utilisateur de bureau Fedora heureux pendant toute son existence.) Dans le cas où vous avez absolument besoin de versions plus récentes de logiciels non disponibles dans une distribution plus "entreprise", et vous pouvez accepter les compromis, alors il n'y a rien mal à utiliser Fedora.

Enfin, puisque vous avez posé une question spécifique sur la sécurité, quelques mots à ce sujet.

Comme indiqué précédemment, il n'y a pas de réelle différence dans le rythme des mises à jour de sécurité entre Fedora et toute autre distribution. Les conditionneurs Fedora font des efforts particuliers pour rester proches de l'amont et diffuser ces types de mises à jour le plus rapidement possible, parfois même avant le projet en amont.

Comme son grand frère d'entreprise, Fedora est également livré avec une configuration de sécurité assez verrouillée: les services (sauf ssh) sont désactivés par défaut; le pare-feu par défaut est activé par défaut pour IPv4 et IPv6; SELinux s'applique par défaut. De plus, Fedora est endurci de plusieurs autres manières .

D'un autre côté, vous voyez très tôt les nouvelles technologies de sécurité; un exemple est l'introduction récente de FirewallD , qui n'est pas encore tout à fait prêt pour les heures de grande écoute, bien que le retour au pare-feu précédent soit facile .

Il s'agit plus de stabilité et de taux de changement que de sécurité en soi. Fedora est une plate-forme permettant à Red Hat de déployer de nouvelles fonctionnalités et applications pour valider leur pertinence, fournir une plate-forme pour expérimenter et résoudre les problèmes d'intégration.

Ce n'est généralement pas ce que vous voulez qu'un serveur fasse - vous voulez généralement qu'un serveur exécute une fonction de la manière la plus stable possible.

Selon ce que vous faites, Fedora peut être très bien. Si vous développez des applications de bureau Linux, travailler avec le dernier cri peut être souhaitable. De même, si vous travaillez sur un projet d'école d'un semestre ou sur un autre projet de durée limitée où le rythme élevé des changements n'est pas un problème, Fedora va bien aussi.

Le point clé qui m'empêche d'utiliser Fedora pour un serveur et de préférer Debian, Ubuntu ou CentOS à la place est la stabilité et la durée du support . Lorsque vous exécutez un serveur, vous recherchez la stabilité, la sécurité et la longévité. Oui, presque toutes les distributions emballent le même logiciel, donc cela n'a pas d'importance là-bas. C'est une question de ce qui est testé, a des mises à jour de sécurité et est pris en charge.

Le calendrier de sortie de Fedora tous les 6 mois est bien si vous voulez un bord de fuite, mais lorsque vous parlez d'un bord de fuite de serveur n'est pas toujours une bonne chose. Ajoutez à cela le fait que Fedora ne prend en charge que les trois dernières versions, ce qui signifie que vous regardez un système d'exploitation non pris en charge dans 18 mois et que vous devez mettre à niveau. Si vous avez déjà effectué une mise à niveau de Fedora, ils sont généralement mauvais et il est plus facile de faire une installation propre qui, sur un ordinateur de bureau / portable, pourrait ne pas être si mauvaise, mais pour un serveur, cela signifie des temps d'arrêt et est inacceptable pour la plupart des administrateurs système.

CentOS a de loin le cycle de support le plus long et pendant ce temps, il est pris en charge et les correctifs de sécurité et les mises à jour sont publiés, ce n'est donc pas la même version tout le temps. L'avantage est que vous ne passez pas tout votre temps à préparer la prochaine mise à niveau. Vous disposez d'un serveur stable sur lequel un logiciel testé stable est exécuté.

Debian a un calendrier de publication plus long que Fedora mais plus court que CentOS mais est toujours à jour sur les mises à jour de sécurité. L'autre avantage de Debian est un chemin de mise à niveau propre. Les versions de Debian sont testées pour une installation propre et des mises à jour en direct et ne sont pas réellement publiées tant qu'elles ne peuvent pas être effectuées avec succès sans problème. Cette attention aux détails et cette volonté de repousser une date de sortie pour éliminer plus de bugs de package est l'un de ses plus forts avantages. La structure de package DEB elle-même est également conçue pour rendre la mise à niveau très fluide et maintenir vos configurations. La seule chose qui manque vraiment est le support commercial, auquel cas vous pouvez vous tourner vers Ubuntu qui prend ses paquets de Debian tout comme CentOS prend une grande partie de son emballage de RHEL.

Edit: Ajout d'un texte en gras pour attirer l'attention sur un fait qui était évidemment manqué que je ne considère pas Fedora assez stable pour une plate-forme de serveur.

Pas de support.

Fedora n'a pas de contrats de support technique comme Red Hat Enterprise. Il n'y a personne à appeler si vous avez un problème d'arrêt.

Mon plus grand argument serait:

Les serveurs ne sont pas son public cible principal

De même, je ne recommanderais pas d'utiliser Ubuntu pour un environnement de serveur, et beaucoup seraient en désaccord avec moi, mais ce n'est tout simplement pas la cible principale.

Les logiciels destinés aux utilisateurs à domicile et aux ordinateurs de bureau ont tendance à faire défaut dans les services orientés serveur, tout comme les éléments destinés au serveur ne fonctionnent pas aussi bien pour les utilisateurs à domicile.

De plus, les plates-formes ciblant les utilisateurs à domicile ont tendance à attirer davantage d'utilisateurs à domicile.Par conséquent, les bogues découverts, signalés et corrigés seront priorisés en raison de cet effet.

De même, les plates-formes ciblées sur l'utilisation du serveur auront tendance à attirer l'utilisation du serveur, et donc les bogues liés à l'utilisation du serveur seront plus susceptibles d'avoir été trouvés et résolus au moment où vous y arriverez.

(J'ai au moins un ami qui a une expérience professionnelle avec Ubuntu dans des environnements de production et dit qu'il en a été complètement horrifié, et préférerait de loin CentOS pour les serveurs de production.)

seLinux

Fedora est livré avec seLinux préinstallé et bien configuré.

Il est important de noter que seLinux n'implique pas la sécurité.

Sur le site Web de la NSA, seLinux :

Linux à sécurité renforcée est uniquement destiné à démontrer les contrôles obligatoires dans un système d'exploitation moderne comme Linux et est donc très peu susceptible en soi de répondre à une définition intéressante de système sécurisé.

Je suis un grand fan de fedora, je pense que c'est merveilleux, et je l'exécute sur tous mes ordinateurs de bureau / portables, mais je ne l'exécuterais sur aucun de mes serveurs.

• Fedora vise à se rapprocher du «bord de saignement». Cela signifie que vous obtiendrez un logiciel plus récent qui a passé moins de temps à être testé. Comme aucune version ne sort en même temps, il est difficile d'obtenir des chiffres exacts à ce sujet, mais je pense qu'ubuntu est souvent en retard d'une version sur les nouvelles fonctionnalités, tandis que debian / centos / redhat sont beaucoup plus en retard.

• J'ai l'impression qu'à cause de cela, il y a plus de mises à jour sur fedora, mais encore une fois, je n'ai pas de chiffres pour le sauvegarder.

Ce qui le fait vraiment basculer, c'est l'absence du modèle LTS qu'ubuntu possède. Vous pouvez installer un ubuntu LTS quelques mois après sa sortie et sachez qu'il a eu beaucoup de temps pour régler les problèmes majeurs et régler quelque peu.

Après cela, vous savez que vous avez au moins 4 ans de support et de mises à niveau supplémentaires avant de mettre à niveau votre serveur. Je pourrais vivre avec l'un des autres problèmes potentiels liés à l'exécution de fefora, mais pas avec le fait de devoir déplacer la version sur chaque boîte au moins une fois par an (probablement deux fois cependant).

Edit: Trouvé quelques chiffres ...

Fedora 11 est livré avec la version 5.2 du serveur openssh. Quand il sera publié, Ubuntu Karmic n'aura que la version 5.1 , la même version que Debian Lenny . Le site Web centos est trop merdique pour que je puisse trouver une version, mais afaik ils sont sur 4.x

Ce n'est pas que Fedora ne soit pas sûr. C'est qu'il est livré avec des packages à la pointe de la technologie et qu'il se rafraîchit très rapidement, vous devez donc effectuer des mises à niveau chaque année environ pour continuer à recevoir des mises à jour de sécurité. C'est un gros problème si vous avez un nombre non négligeable de serveurs, d'autant plus que le processus de mise à jour de fedora (iirc) nécessite un temps d'arrêt.

L'utilisation de Fedora sur un serveur par rapport à quelque chose comme CentOS, Debian, Ubuntu, Gentoo, Slackware, SLES, etc. se résume vraiment à l'outil approprié pour le travail.

La principale plainte que vous trouverez auprès des administrateurs de serveur à propos de Fedora sur le serveur est le cycle de mise à niveau tous les 6 mois à un an (selon que vous souhaitez toujours être à la dernière version ou ignorer toutes les autres versions). Comme vous l'avez souligné, Fedora installe des configurations «sécurisées par défaut» et fournit de nombreux outils pour maintenir un système sécurisé. Surtout sur un serveur, l'outil de mise à niveau gérera très bien les migrations entre les différentes versions de Fedora, ce qui atténue quelque peu ce problème.

Si vous souhaitez un cycle de publication plus long, alors quelque chose comme CentOS (qui est essentiellement la version gratuite de Red Hat Enterprise Linux) peut être plus facile sur votre charge de travail.

Pour résumer, je pense que vous êtes très bien avec Fedora si vous en êtes satisfait. Je n'ai jamais vu de preuves indiquant que Debian, Ubuntu ou CentOS sont particulièrement plus sûrs que Fedora.

Tout système d'exploitation peut être sécurisé. Deux points sur Fedora en tant que serveur. Premièrement, chaque fois que vous mettez à niveau une version logicielle, vous courez le risque d'introduire de nouveaux bogues et des problèmes de sécurité qui ne sont pas présents dans la version précédente. C'est pourquoi les entreprises voudront attendre un an après la sortie du logiciel avant de l'installer, de sorte que de nombreux bugs et problèmes de sécurité peuvent être corrigés. Vous ne voulez pas passer à de nouvelles versions chaque fois que vous en sortez, faites face aux maux de tête liés à la migration et aux nouveaux problèmes de sécurité impliqués. Second Fedora n'a pas la possibilité d'obtenir un support d'entreprise comme RedHat ou Ubuntu.

Nous utilisons RHEL au travail. Si vous deviez mettre à niveau des serveurs 7k tous les 6 ou 12 mois, nous ne serions jamais en avance. Nous obtenons toujours des serveurs Win2k3 pour 2008.

Les versions de Fedora sont trop fréquentes pour qu'une entreprise avec beaucoup de serveurs reste à jour. Pour une petite entreprise, Fedora est probablement correct à utiliser. Mais là encore, vous auriez besoin d'un administrateur Linux sur le site et la plupart ne peuvent pas se le permettre pour résoudre de nombreux problèmes. C'est donc là que RHEL a un avantage: une assistance payante.

J'ai utilisé Debian à la maison. Je viens de passer de 7 à 8 et ça s'est très bien passé. Ubuntu a aussi un serveur, mais Ubuntu est équivalent à Fedora. Debian met beaucoup de temps à déployer de nouveaux paquets car ils les testent minutieusement. L'inconvénient est que vous ne disposez peut-être pas de la dernière version d'Apache ou de MySQL ou de toute autre application dont vous avez besoin et qui possède les fonctionnalités souhaitées. Bien sûr, vous pouvez le télécharger séparément, mais il va à l'encontre du but d'avoir un système d'exploitation "stable et sécurisé".

De plus - des caractéristiques / fonctionnalités peuvent apparaître et être ensuite supprimées dans la prochaine version - ce qui n'est [généralement] pas utile pour un serveur , car vous voulez la fiabilité. OTOH, si vous installez, disons, F11 et que vous vous y tenez pendant 2-4 ans comme vous l'auriez fait avec CentOS 5 ou Ubuntu LTS, alors il n'y a pas de réelle différence. Il s'agit de niveaux de confort.

Attends quoi? Pour autant que je sache, Wikipedia fonctionne sur Fedora. Pas sur RedHat - sur Fedora. Il n'y a donc vraiment aucun problème avec Fedora utilisé comme WebServer :)

Généralement, ce qu'un administrateur système souhaite d'une distribution orientée serveur, c'est:

1. Aucun logiciel de pointe, même sur la dernière version
2. Tous les logiciels dont vous avez besoin doivent être disponibles dans les dépôts officiels: dans un environnement de production, vous n'êtes parfois pas autorisé à utiliser des packages extraits de sites Web aléatoires ou, pire encore, compilés localement.
3. Mises à jour de sécurité centralisées et opportunes à partir des dépôts officiels
4. Packages et politiques d'installation de packages (fournis par la distribution) qui assurent des mises à niveau fluides [c'est-à-dire la mise à niveau du contenu d'un fichier de configuration lorsqu'un démon est mis à niveau vers une nouvelle version]
5. En option, support d'entreprise

Fedora échoue sur ce point, afaik

CentOS échoue sur 2,3,4,5

Debian échoue le 5

Ubuntu échoue sur 1

Votre choix :)